תקנת eIDAS: להבין הכל על חתימה אלקטרונית באירופה
עודכן ב
תקנת eIDAS היא הטקסט המייסד של החתימה האלקטרונית באירופה. היא מגדירה שלוש רמות חתימה (פשוטה, מתקדמת, מוכשרת), קובעת את הערך המשפטי של פעולות אלקטרוניות ומסדירה את ספקי שירותי האמון. מדריך זה יסביר לכם את כל מה שאתם צריכים לדעת כדי להיות תואמים ב-2026.
מהי eIDAS ולמה היא נוצרה?
לפני eIDAS, כל מדינה חברה באיחוד האירופי הייתה בעלת רגולציה משלה על חתימות אלקטרוניות, מה שיצר פיצול משפטי שבלם חילופים חוצי גבולות. חתימה אלקטרונית תקפה בצרפת לא הייתה בהכרח מוכרת בגרמניה או בספרד.
תקנת (האיחוד האירופי) מס’ 910/2014, שנקראת eIDAS (Electronic IDentification, Authentication and trust Services), אומצה ב-23 ביולי 2014 ונכנסה לתוקף ב-1 ביולי 2016. בתור תקנה (ולא הוראה), היא חלה ישירות ואחידה ב-27 המדינות החברות, ללא צורך בהטמעה לאומית.
eIDAS רודפת שלוש מטרות עיקריות: יצירת שוק דיגיטלי אחיד באירופה בזכות הכרה הדדית של זהויות אלקטרוניות, הבטחת ביטחון משפטי של עסקאות אלקטרוניות חוצות גבולות, וקביעת מסגרת אמון לשירותים דיגיטליים דרך ספקי שירותי אמון מוכשרים (QTSP — Qualified Trust Service Provider).
3 רמות החתימה שהוגדרו על ידי eIDAS
eIDAS קובעת פירמידה של שלוש רמות חתימה אלקטרונית, כל אחת עם דרישות טכניות משלה וערך הוכחתי.
חתימה אלקטרונית פשוטה
דרישות eIDAS
- נתונים בצורה אלקטרונית המחוברים לנתונים אחרים
- משמשים לחתימה (ללא דרישה טכנית ספציפית)
- יכולים להיות קליק פשוט, תיבת סימון או שם מוקלד
דוגמאות שימוש
- קבלת תנאי שימוש
- טופס מקוון
- אימייל אישור
ערך משפטי
ערך חוזי בסיסי, ללא הנחה משפטית
חתימה אלקטרונית מתקדמת
דרישות eIDAS
- מחוברת באופן ייחודי לחותם
- מאפשרת לזהות את החותם
- נוצרה עם נתונים תחת השליטה הבלעדית של החותם
- כל שינוי מאוחר במסמך ניתן לזיהוי
דוגמאות שימוש
- חוזי עבודה
- NDA
- חוזים מסחריים
- ייפויי כוח
ערך משפטי
ערך הוכחתי חזק — מומלץ לחוזים חשובים
חתימה אלקטרונית מוכשרת
דרישות eIDAS
- עונה על כל דרישות AES
- נוצרה על ידי מכשיר יצירת חתימה מוכשר (QSCD)
- מבוססת על אישור מוכשר שהונפק על ידי QTSP (רשימת אמון האיחוד האירופי)
דוגמאות שימוש
- פעולות אותנטיות דיגיטליות
- מכרזים ציבוריים תובעניים
- פעולות מוסדרות
ערך משפטי
הנחה משפטית שווה לחתימה ידנית (סעיף 25 eIDAS)
eIDAS 2.0: חדשות 2024
תקנת eIDAS תוקנה על ידי תקנת (האיחוד האירופי) 2024/1183, שפורסמה בעיתון הרשמי של האיחוד האירופי ב-30 באפריל 2024 ונכנסה לתוקף ב-20 במאי 2024. תיקון זה מודרניזציה של המסגרת הראשונית כדי לענות על אתגרי הדיגיטל העכשווי: זהות דיגיטלית של אזרחים, ענן ריבוני, חוסן של ספקי אמון.
המהלך הבולט של eIDAS 2.0 הוא ארנק הזהות הדיגיטלית האירופי (EUDIW). עד סוף 2026, כל מדינה חברה תצטרך להציע לאזרחיה ולתושביה אפליקציה המאפשרת לאחסן ולהציג אישורי זהות מאומתים — מקבילה דיגיטלית של תעודת זהות, רישיון נהיגה, תעודות. התפתחות זו תהיה בעלת השפעה ישירה על תהליכי החתימה המוכשרת.
ארנק זהות דיגיטלית (EUDIW)
eIDAS 2.0 מציגה את European Digital Identity Wallet: כל אזרח אירופי יוכל לאחסן את אישורי הזהות המאומתים שלו (תעודת זהות, רישיון נהיגה, תעודות) באפליקציה ניידת הפועלת באופן הדדי בכל האיחוד האירופי.
חיזוק QTSP
הדרישות החלות על ספקי שירותי אמון מוכשרים (QTSP) מחוזקות, במיוחד בענייני סייבר, ביקורות והמשכיות שירות.
שירותי אמון חדשים
eIDAS 2.0 מוסיפה שירותים מוכשרים חדשים: ארכיון אלקטרוני מוכשר, ניהול נתוני שיוך מוכשר, מרשם אלקטרוני מוכשר (בלוקצ'יין מאושר).
הדדיות מחוזקת
הכרה הדדית טובה יותר של זהויות דיגיטליות בין מדינות חברות. חתימות מוכשרות שניתנו בכל מדינה באיחוד האירופי מוכרות בכל מקום.
איך להיות תואם eIDAS בפועל?
תאימות eIDAS אינה מצטמצמת לבחירת רמת חתימה. היא כוללת חשיבה על כל התהליך: זיהוי סיכונים, בחירת כלים, שמירת הוכחות וממשל מסמכים.
להלן רשימת תיוג מעשית לעסקים הרוצים לאבטח את תהליכי החתימה האלקטרונית שלהם בהתאמה ל-eIDAS:
גישת תאימות eIDAS של Certyneo
Certyneo מטמיעה את רמות SES (חתימה אלקטרונית פשוטה) ו-AES (חתימה אלקטרונית מתקדמת) של תקנת eIDAS. החתימה המתקדמת מבוססת על אימות דו-גורמי: קישור חד-פעמי הנשלח באימייל וקוד OTP הנשלח ב-SMS דרך OTP SMS. מנגנון זה עונה על ארבעת הקריטריונים של סעיף 26 ב-eIDAS לחתימה מתקדמת.
כל מעטפה מייצרת יומן ביקורת מלא: חותמת זמן של כל פעולה (שליחה, פתיחת הקישור, אימות ה-OTP, הנחת החתימה, סירוב אפשרי), כתובת IP של החותם, user-agent של הדפדפן. יומן ביקורת זה משולב בתחתית כל עמוד ב-PDF הסופי (כותרת ביקורת) ונשמר 10 שנים.
הנתונים מאוחסנים בצרפת (תשתית IONOS), באיחוד האירופי, בהתאמה לדרישות הריבונות הדיגיטלית ולGDPR. עיינו בעמוד האבטחה והתאימות שלנו לכל הפרטים הטכניים.
שאלות נפוצות על eIDAS
מהי תקנת eIDAS?
eIDAS (Electronic Identification, Authentication and Trust Services) היא התקנה האירופית (האיחוד האירופי) מס' 910/2014 הקובעת מסגרת משפטית משותפת לחתימות אלקטרוניות, חותמות אלקטרוניות, חותמות זמן, שירותי שליחה רשומה אלקטרונית ושירותי אימות אתרי אינטרנט באיחוד האירופי. היא נכנסה לתוקף ב-1 ביולי 2016 וחלה ישירות ב-27 המדינות החברות.
מה ההבדל בין eIDAS ל-eIDAS 2.0?
eIDAS 2.0 (תקנת (האיחוד האירופי) 2024/1183, נכנסה לתוקף ב-20 במאי 2024) מודרניזציה של eIDAS 1.0 על ידי הכנסת ארנק הזהות הדיגיטלית האירופי (EUDIW — European Digital Identity Wallet), שיאפשר לאזרחים אירופים לאחסן אישורי זהות דיגיטליים מאומתים. לעסקים, eIDAS 2.0 מחזקת את דרישות ספקי שירותי האמון המוכשרים (QTSP) ומשפרת את ההדדיות חוצת הגבולות.
האם לחתימה אלקטרונית פשוטה יש ערך משפטי לפי eIDAS?
כן. סעיף 25 של eIDAS אוסר במפורש לסרב להשפעות משפטיות של חתימה אלקטרונית רק בגלל שהיא בצורה אלקטרונית. לכן לחתימה פשוטה (SES) יש ערך משפטי, אך היא אינה נהנית מההנחה המשפטית השמורה לחתימות מוכשרות (QES). במקרה של מחלוקת, על הצד הטוען לחתימה להוכיח את אותנטיותה.
איך לדעת איזו רמת eIDAS לבחור לחוזים שלי?
הכלל הכללי הוא לכייל את הרמה לסיכון המשפטי והמסחרי של המסמך. למסמכים שוטפים בעלי סיכון נמוך (הצעות מחיר, הזמנות פנימיות), החתימה הפשוטה מספיקה. לחוזים מסחריים חשובים, חוזי עבודה, NDA או ייפויי כוח, החתימה המתקדמת (AES) מומלצת. החתימה המוכשרת (QES) שמורה למצבים בהם החוק דורש זאת במפורש (פעולות אדמיניסטרטיביות מסוימות, מכרזים ציבוריים גדולים) או כאשר סיכון הערעור מקסימלי.
איך Certyneo תואמת ל-eIDAS?
Certyneo מטמיעה חתימה פשוטה (SES) וחתימה מתקדמת (AES) בהתאמה ל-eIDAS. החתימה המתקדמת מבוססת על OTP כפול אימייל + SMS (OTP SMS) המקשר את החותם לפעולה שלו. כל מעטפה מייצרת יומן ביקורת עם חותמת זמן המוטבע ב-PDF הסופי. הנתונים מאוחסנים בצרפת (האיחוד האירופי), בהתאמה לדרישות הריבונות הדיגיטלית.
האם eIDAS חלה על עסקים מחוץ לאיחוד האירופי?
eIDAS חלה על שירותי אמון הניתנים באיחוד האירופי. עסק המוקם מחוץ לאיחוד האירופי הרוצה שחתימותיו יהיו מוכרות באיחוד האירופי חייב להשתמש בפתרון תואם eIDAS או בספק אמון מוכשר (QTSP) המוכר ברשימת האמון של מדינה חברה. לחילופים B2B בינלאומיים, הסכמי הכרה הדדית קיימים עם מדינות שלישיות מסוימות.